Ir para o conteúdo principal
Piloterr
Voltar ao blog
23 de junho de 2026

Cloudflare se une ao Chrome, Firefox e Edge no PACT, um protocolo anti-bot focado em privacidade

TL;DR: A Cloudflare, Mozilla, Google, Microsoft e Shopify estão desenvolvendo conjuntamente o PACT (Private Access Control Tokens), um protocolo projetado para provar que um visitante é humano ou um agente autorizado, sem CAPTCHAs, logins forçados ou reconstrução do histórico de navegação.

A web acabou de cruzar uma linha simbólica. Dados do Cloudflare Radar mostram que solicitações HTTP automatizadas agora representam cerca de 58% do tráfego global, em comparação com 42% provenientes de pessoas. O CEO da Cloudflare, Matthew Prince, havia previsto esse cruzamento; o aumento de agentes de IA (assistentes como ChatGPT e Gemini navegando em nome dos usuários) antecipou isso em cerca de 18 meses.

Nesse contexto, a Cloudflare anunciou uma iniciativa conjunta com Firefox, Chrome e Edge para construir um novo padrão da internet. O objetivo: verificar se o acesso é legítimo sem depender dos padrões atuais (desafios visuais, barreiras de login, impressão digital oculta do navegador) que frustram os usuários e levantam sérias preocupações com a privacidade.

Para equipes que coletam dados da web em escala, essa mudança é relevante. Ela redesenha a linha entre automação legítima e abuso, um tópico central nos produtos anti-bot bypass e WebUnlocker da Piloterr.

Tokens anônimos em vez de CAPTCHAs

O PACT parte de uma premissa simples: um site que já possui um forte conhecimento sobre um visitante (por exemplo, após uma autenticação robusta) pode emitir um token anônimo. O navegador o armazena e pode apresentá-lo a outros sites como prova de que uma pessoa real, ou um agente explicitamente autorizado por ela, está por trás da sessão.

O design foi pensado para ser não rastreável: o token não pode seguir os usuários entre sites ou reconstruir seu histórico de navegação. Isso é o oposto das técnicas de impressão digital e varredura de extensões que se tornaram o padrão quando as plataformas tentaram separar humanos de scripts.

Na prática, o PACT poderia reduzir o atrito em jornadas sensíveis (fluxos de checkout, conteúdo restrito, serviços públicos) enquanto ainda permite que os editores filtrem tráfego claramente abusivo.

Quem está envolvido e por que agora

O anúncio abrange toda a pilha:

  • Cloudflare, que vê uma grande parte do tráfego HTTP e já oferece produtos de gerenciamento de bots;
  • Mozilla (Firefox), Google (Chrome) e Microsoft (Edge), juntos representando cerca de 77% dos navegadores, segundo a StatCounter;
  • Shopify, onde cada falso positivo ou atraso adicional pode significar um carrinho abandonado.

O CTO da Cloudflare, Dane Knecht, descreve o problema de forma direta: a internet está mudando à medida que o tráfego impulsionado por IA cresce, e as ferramentas de segurança atuais são muito rudimentares para tratar humanos, agentes autorizados e scrapers maliciosos de forma diferente.

Os fornecedores de navegadores defendem a web aberta. Bobby Holley, da Mozilla, aponta para uma "avalanche de tráfego automatizado" que está levando os sites a adotarem defesas brutas: paywalls, verificações de identidade e rastreamento invasivo. Erik Anderson, da Microsoft, enfatiza a necessidade de ferramentas que combatam o abuso sem punir todos os visitantes.

Do lado do comércio, Ilya Grigorik, engenheiro distinguido da Shopify, observa que no e-commerce, cada obstáculo adicional pode transformar uma compra em um carrinho abandonado. Um padrão aberto e que preserva a privacidade, capaz de separar compradores reais e agentes mandatados de bots abusivos, atende a uma necessidade concreta para milhões de comerciantes.

Não é uma guerra contra todos os bots

Vale deixar claro: o PACT não foi criado para bloquear a automação. A própria Cloudflare está apostando em agentes de IA. O objetivo é separar solicitações legítimas (um assistente buscando um preço para você, um rastreador de indexação permitido, um pipeline de enriquecimento B2B contratado) de campanhas agressivas de scraping, preenchimento de credenciais e abuso na camada de aplicação.

Desenvolvedores e equipes de dados conhecem bem essa distinção. Nem todo projeto precisa de um WebUnlocker para extrair HTML público; mas quando um site reforça suas defesas, saber se o seu tráfego poderá um dia se qualificar para um token PACT ou ainda será tratado como suspeito muda o cálculo em torno de conformidade, taxas de sucesso e custo de infraestrutura.

Baseado no Privacy Pass

O PACT não começa do zero. A Apple já opera um sistema relacionado chamado Privacy Pass, que usa o enclave seguro de um dispositivo para atestar a identidade sem expô-la. A Cloudflare utiliza o Privacy Pass como um sinal em sua pilha de gerenciamento de bots.

Em 2024, o IETF publicou a Privacy Pass Architecture como RFC 9576. O PACT estende essa base com suporte mais amplo a navegadores e um foco explícito no tráfego agentivo que remodelou a web no último ano.

Cronograma e questões em aberto

Nenhuma data de implantação foi anunciada. Os parceiros se comprometeram a amadurecer o protocolo e submetê-lo à padronização, mas transformar uma especificação em bilhões de sessões de navegador leva tempo: negociação técnica, implementação, adoção pelos editores.

O desafio não é apenas técnico. O PACT oferece aos editores menos dados sobre os visitantes, não mais. Em um ecossistema há muito moldado pela medição e segmentação de anúncios, a adoção dependerá tanto do apetite dos editores quanto da velocidade dos órgãos de padronização.

O que isso significa para scraping e coleta de dados

No curto prazo, nada muda da noite para o dia. CAPTCHAs, Turnstile e WAFs continuam sendo a norma em milhares de domínios, incluindo uma grande parte protegida pela própria Cloudflare.

No médio prazo, o PACT poderia:

  1. Reduzir desafios para sessões já atestadas, especialmente em fluxos de e-commerce e SaaS;
  2. Criar uma faixa formal para agentes de IA autorizados, com regras mais claras do que bloqueios cegos;
  3. Acelerar o recuo das técnicas mais invasivas de impressão digital, sob pressão regulatória e técnica.

Para projetos sérios de web scraping, a lição permanece a mesma: prefira fontes autorizadas, respeite os termos de uso e estruture pipelines que separem coleta legítima de contorno abusivo. O PACT não substituirá uma API bem projetada ou um acordo contratual com uma fonte, mas pode um dia oferecer prova criptográfica de que seu agente opera dentro de uma estrutura reconhecida.

A web está buscando um equilíbrio entre autenticidade e privacidade. O PACT é a mais recente tentativa de codificá-lo. Se o padrão será adotado rápido o suficiente para acompanhar a onda de agentes de IA, ou se os sites continuarão a reforçar suas barreiras nesse meio tempo, ainda é uma aposta em aberto.

Mais para ler

Guias e notícias sobre web scraping, proxies e extração de dados.

Notícias

Entendendo as métricas de latência p50, p75, p90, p95 e p99

Os percentis de latência explicam quão rápido sua API ou pipeline de scraping realmente performa para a maioria das requisições e para a cauda lenta. Saiba o que significam p50 a p99, por que as médias enganam e como definir SLAs realistas.

Josselin Liebe
Josselin Liebe
Ler
Notícias

Apresentando o novo site da Piloterr

{{brandName}}.com foi reconstruído do zero: páginas de produto mais claras, 500 endpoints de API documentados, ferramentas gratuitas para desenvolvedores, localização em francês e um roteiro para um segundo datacenter próprio.

Josselin Liebe
Josselin Liebe
Ler
Notícias

Web Scraping de Sites: Crawler vs Renderização vs WebUnlocker

Piloterr Website Crawler vs Renderização vs WebUnlocker: saiba quando usar scraping com requisições HTTP e fingerprinting, renderização completa de navegador JS ou o anti-bot WebUnlocker (Cloudflare, DataDome, PerimeterX, Akamai) para 100% de sucesso em domínios aprovados.

Josselin Liebe
Josselin Liebe
Ler

Pronto para começar?

Sua API de web scraping está a um clique. Comece com +500 créditos, sem infraestrutura para configurar, sem proxies para gerenciar e sem cartão de crédito necessário.

  • +500 créditos
  • Sem cartão de crédito
  • Todos os endpoints incluídos